dedlfix: register_globals = Off

Beitrag lesen

echo $begrüßung;

Jein, ich dachte da eher an Sub-Querys… Ich habe es jetzt nicht ausprobiert, aber bist du dir sicher, dass man da nicht irgendwie einen inneren Query mit UPDATE oder DELETE machen kann?

Der einleitende Satz in dem verlinkten Kapitel lautet: »A subquery is a SELECT statement within another statement.« Man spricht auch von SubSELECT. Ein Subquery/Subselect muss eine Ergebnismenge zurückliefern. Die kann ein einzelner Wert, eine Zeile, eine Spalte oder eine Tabelle sein. DELETE, INSERT und UPDATE haben keine Ergebnismenge, sind deshalb für ein Subselect ungeeignet. Eine Stored Procedure scheidet auch aus, da diese nicht über ein SELECT aufgerufen wird. Bleibt noch eine Stored Function übrig, die über SELECT aufgerufen werden kann und Daten manipulieren kann. Doch das ist ein ziemlich unwahrscheinliches, wenn auch nicht völlig ausschließbares Szenario. Ich kann mir jedoch schlecht vorstellen, dass jemand in seiner Entwicklung so weit fortgeschritten ist, Stored Functions schreiben zu können, dabei aber um das Thema sichere Programmierung einen großen Bogen machen konnte.  Und wer SF schreibt, mit der man wesentliche Daten ändern kann, hat vermutlich den Unterschied zwischen SP und SF nicht verstanden und ein Lehrgeld verdient :-) Aber gut, man kann ja auch durch Unachtsamkeit eine Lücke ins System einbauen.

Fazit: Mit Subquerys kann man theoretisch Unfug anstellen, die Wahrscheinlichkeit ist aber aufgrund der speziellen Voraussetzungen eher gering.

echo "$verabschiedung $name";